Hoy en día, casi todos los sitios web requieren autenticación para que puedas acceder a sus contenidos, aplicaciones y funciones. Por desgracia, cuantas más páginas visite o servicios utilice, más confusa se vuelve la jungla de contraseñas. Con la ayuda del inicio de sesión único, puede acceder a varios recursos o servicios con un solo inicio de sesión y ahorrarse así varios inicios de sesión. En este artículo, explicamos cómo funciona el procedimiento, qué ventajas y desventajas tiene el SSO en comparación con otros métodos de autenticación y dónde se puede encontrar en la práctica.
En la práctica, en el inicio de sesión único se distingue principalmente entre soluciones de portal, sistemas de tickets y soluciones locales.
Aunque SUSP también utiliza los mismos datos de inicio de sesión para diferentes servicios, a diferencia de SSO, para cada servicio se requiere un inicio de sesión independiente, incluida la entrada de datos.
El SSO reduce el riesgo de ser víctima de phishing o de un ataque man-in-the-browser. Sin embargo, si los datos de acceso caen en las manos equivocadas, esto puede tener consecuencias de gran alcance.
Índice de contenidos
Definición: ¿Qué significa Single Sign-On y cómo funciona?
Single Sign-On (SSO) se traduce vagamente como «inicio de sesión único» y describe un procedimiento con el que se obtiene acceso a varias aplicaciones, servicios o recursos a través de un único proceso de autenticación. En lugar de varias cuentas y contraseñas, sólo necesita un único registro de inicio de sesión.
Para ello, el SSO le asigna una identidad global que es válida simultáneamente para varios servicios y conocida por todas las aplicaciones implicadas. Además, el sistema también dispone de todos sus datos de acceso y los confirma a los servicios y aplicaciones correspondientes.
Es bueno saberlo: El concepto de identidad electrónica centralizada o vinculada que abarca varios sistemas se denomina «identidad federada».
1.1 Sistemas de autenticación SSO
Los mecanismos pueden implementarse de diferentes maneras. Básicamente, sin embargo, existen tres sistemas de autenticación diferentes:
- OpenID es un sistema de autenticación SSO descentralizado y de código abierto, adecuado principalmente para servicios basados en web. Para utilizarlo, el usuario necesita una cuenta OpenID (identificador URL), que recibe de un proveedor de identidad OpenID (por ejemplo, Google). Esta se utiliza para autenticar al usuario en todos los demás servicios SSO. A continuación, el proveedor de OI asociado transmite al sitio web en cuestión un token que sirve como prueba de la identidad del usuario.
- El protocolo OAuth2 se ha convertido en los últimos años en una especie de estándar para la autorización de clientes en APIs y ahora también lo utilizan muchos grandes proveedores como Google, Facebook o Twitter. En lugar de autenticarse directamente con un sitio web como OpenID, el usuario delega esta tarea en un cliente. Este se conecta entonces al sitio web con un token del proveedor de OI. Esto tiene la ventaja de que no tiene que transferir sus datos directamente al sitio web en cuestión.
- El protocolo SAML (Security Assertion Markup Language) es el más antiguo de los tres procedimientos. Proporciona al navegador del usuario una cookie de sesión cifrada, incluida una fecha de caducidad, con la que el usuario puede verificarse a sí mismo de forma única ante los demás servicios. Los propios servicios pueden estar situados en la red local o en Internet.
El inicio de sesión se mantiene hasta que el usuario cierra la sesión con su cuenta central («cierre de sesión único») o se inicia una sesión automática tras un periodo de tiempo predefinido.
Conviene saberlo: La autenticación no es lo mismo que la autorización. Desgraciadamente, a menudo surgen confusiones debido a la similitud de ambos términos. Mientras que la autenticación sirve para identificar a un usuario mediante sus datos de acceso, la autorización concede a un servicio el derecho a utilizar determinados datos de su perfil.
¿Cuáles son las ventajas y desventajas del Single Sign-On frente a otros métodos de autenticación?
Una de las mayores ventajas de SSO es sin duda el tiempo ahorrado. Porque la autenticación única le ahorra tener que escribir constantemente nuevos nombres de usuario y contraseñas. Esto no sólo te hace más productivo, sino que también aumenta la seguridad al mismo tiempo, ya que la frase sólo se transmite una vez y no tienes que lidiar con una larga lista de contraseñas (a menudo incluso más inseguras). Una sola contraseña suele ser más fácil de recordar, por lo que puede ser un poco más complicada.
Si desea bloquear o revisar el acceso de un usuario, ya no es necesario realizar configuraciones laboriosas y propensas a errores en varios inicios de sesión en diferentes bases de datos. En su lugar, los cambios correspondientes se realizan en la identidad global y, por tanto, se replican en todas las instancias implicadas.
Otra ventaja: dado que los datos sólo se almacenan en un lugar, el SSO también reduce el riesgo de ataques de suplantación de identidad y de ataques del tipo «man-in-the-browser».
El inicio de sesión único no sólo tiene ventajas
Pero a pesar de todos los aspectos positivos, el procedimiento también tiene algunas desventajas que, naturalmente, no queremos ignorar. Por ejemplo, el SSO sólo puede utilizarse con servicios que el sistema también pueda gestionar. Sin embargo, se convierte en algo realmente peligroso si los datos de acceso caen en las manos equivocadas, ya que permite acceder a varios sistemas al mismo tiempo.
Además, la disponibilidad de los distintos servicios y aplicaciones depende directamente del inicio de sesión único. En lenguaje llano, esto significa que si el sistema está defectuoso o no funciona correctamente por algún otro motivo, no podrá utilizarlo parcialmente. Por cierto, esto también se aplica a los usuarios bloqueados. Si su inicio de sesión está bloqueado para un servicio SSO (por ejemplo, debido a una entrada incorrecta repetida), también dejará de tener acceso a todos los demás.
¿Qué tipos de SSO existen y dónde pueden encontrarse en la práctica?
Debido a su gran facilidad de uso, los procedimientos de SSO pueden encontrarse tanto en el sector privado como en el profesional, y ya se ha establecido en el mercado toda una gama de servicios con los que pueden realizarse. Se trata sobre todo de uno de los tres enfoques siguientes:
3.1 Soluciones de portal
El nombre ya lo sugiere: Con una solución de portal, inicias sesión en un portal en el que se integran diversas aplicaciones, servicios y procesos. Con su registro, su identidad se verifica una vez y a continuación recibe acceso a todos los contenidos, funciones y recursos.
Un ejemplo típico de solución de portal es su cuenta de Google: Con un solo inicio de sesión, puede utilizar Gmail y la plataforma en la nube, comprar en Play Store o personalizar Maps, entre otras cosas.
3.2 Sistemas de tickets
El sistema de tickets es una solución SSO que consiste en una red de servicios que se conocen entre sí. Para acceder, usted se conecta una vez y recibe un ticket virtual. Este ticket sirve para identificarse ante los demás participantes. A continuación, el sistema le certifica como «digno de confianza» y le libera para los demás participantes.
Los representantes más conocidos de la categoría de sistemas de tickets son, por ejemplo, el Liberty Alliance Project y el servicio de autenticación Kerberos.
3.3 Soluciones locales
Con las soluciones locales, los datos de acceso y las contraseñas se almacenan en una ubicación central (por ejemplo, un soporte de datos externo, un ordenador de red de la empresa o en la nube) y se cifran con un único nombre de usuario y una denominada «metacontraseña».
Para ello se suele utilizar un cliente SSO que se instala en el puesto de trabajo utilizado habitualmente. Este se configura de tal manera que obtiene automáticamente la información de la fuente correspondiente y la introduce en la pantalla de inicio de sesión que esté abierta en ese momento.
Los servicios de contraseñas de Apple (Safari) y Google (Chrome), por ejemplo, son clientes SSO de este tipo.